黑客操纵僵尸网络 8 年只为下载动漫视频，程序员竟如此热爱二次元？

作者：刘岩，核子可乐

没想到“程序员”这么爱二次元，8年来，一名黑客一直在运营一个大规模的僵尸网络，但其目的却与犯罪无关，你可能很难相信，这个僵尸网络的目的只是为了下载动漫视频。

黑客操纵僵尸网络8年下载动漫视频

如今，越来越多的程序员喜欢二次元文化。

知乎上，一个很有意思的问题“普通程序员和大神级程序员有什么区别？”下，回答者Momenta总结了大神级程序员在选择头像上的两个风格特点，一是二次元美少女风，二是喜欢萌宠，尤其是猫咪。

在很多程序员眼中，二次元构建的虚拟世界和他们用代码构建的世界本质上是相似的，二次元世界让他们可以放松下来，摆脱现实世界的束缚，获得一种自由的感觉。

你喜欢二次元世界吗？你是否对它深深着迷？一些程序员甚至已经对二次元世界产生了严重的沉迷。本文介绍的一位黑客的经历堪称“神奇”，他运营了一个庞大的僵尸网络长达8年之久。但有意思的是，他创建和运营僵尸网络的唯一目的就是访问在线网站、下载动漫视频。

毫无疑问他是一位真正的动漫粉丝。

在过去的八年里，该黑客一直在悄悄劫持各种 D-Link NVR（网络摄像机）和 NAS（网络附加存储）设备，并将其纳入僵尸网络，以下载动漫视频。

该僵尸网络名为“Cereals”，于2012年首次发现，并在2015年达到峰值规模，控制了10,000台设备。

该僵尸网络仅由 D-Link NAS 和 NVR 设备组成。

但更为可怕的是，如此大规模的僵尸网络却早已未能引起大多数网络安全公司的重视。

目前，Cereals 网络正在自行消失，主要是因为其劫持多年的 D-Link 设备开始老化，并逐渐被其所有者淘汰。此外，2019 年冬天，一种名为 Cr1tT0r 的勒索病毒肆虐，以“黑吃黑”的方式从众多 D-Link 系统中清除了 Cereals 恶意软件——僵尸网络的规模也相应缩水。

鉴于 Cereals 僵尸网络及其伴随的网络设备正在消失，网络安全公司 Forcepoint 最终决定发布威胁警告，而不必担心过早暴露导致更多攻击者瞄准这些高度脆弱的 D-Link 系统。

一个漏洞引发大规模僵尸网络

Forcepoint 研究人员表示，Cereals 僵尸网络的运行非常独特，因为它在其八年的生命周期中仅利用了 D-Link 系统中的一个安全漏洞。

该漏洞来自 D-Link 固件中的短信通知功能，该功能广泛支持 D-Link 品牌下的各种 NAS 和 NVR 产品。

利用此漏洞，Cereals 的作者能够向目标设备的内置服务器发送格式错误的 HTTP 请求并以 root 权限执行命令。

Forcepoint 表示，黑客首先在互联网上扫描存在漏洞的 D-Link 系统，然后利用它在目标 NAS 和 NVR 设备上安装 Cereals 恶意软件。

虽然只利用了一个漏洞，但 Cereals 僵尸网络本身相当先进。Cereals 包含多达四个后门机制，以保持对受感染设备的访问，不断更新后门，防止受感染设备被其他攻击者劫持，并通过 12 个较小的子网管理受感染的僵尸设备。

非专业项目？

更有意思的是，尽管Cereals本身的技术水平很高，但Forcepoint仍然认为该僵尸网络可能只是一个因个人爱好而衍生的业余项目。

原因如下：

首先，这个僵尸网络在其八年的生命周期中只利用了一个漏洞，这表明攻击者并没有费心将其扩展到 D-Link NAS 和 NVR 系统之外。

其次，该僵尸网络存在的目的只有一个——从互联网上下载动漫视频。Forcepoint 指出，该僵尸网络从未进行过任何 DDoS 攻击，也没有证据表明 Cereals 僵尸网络曾试图访问存储在 NAS 和 NVR 设备上的用户数据。

根据目前掌握的情报，该僵尸网络的作者很可能是一名名叫Stefan的德国人，其创建Cereals的初衷与恶意犯罪无关，从始至终，Cereals存在的目的只是为了下载动漫视频。

实在搞不懂你们二次元的人……

参考：

InfoQ读者交流群上线啦！您可以扫描下方二维码，添加InfoQ小助手，回复关键字“入群”即可申请入群，可以和InfoQ读者畅聊，与编辑们零距离接触，还有超值技术礼包等您领取，还有超值活动等您参与，快来加入吧！

点击观看更少错误